Un grupo de actividad de amenazas patrocinado por el estado chino llamado rojoalfa se ha atribuido a una campaña de robo masivo de credenciales de varios años dirigida a organizaciones humanitarias, de expertos y gubernamentales a nivel mundial.
«En esta actividad, RedAlpha muy probablemente buscó obtener acceso a cuentas de correo electrónico y otras comunicaciones en línea de personas y organizaciones objetivo», Recorded Future revelado en un nuevo informe.
Un actor de amenazas menos conocido, RedAlpha fue el primero documentado por Citizen Lab en enero de 2018 y tiene antecedentes de realizar operaciones de vigilancia y espionaje cibernético dirigidas contra la comunidad tibetana, algunas en India, para facilitar la recopilación de inteligencia a través del despliegue del Puerta trasera NjRAT.
«Las campañas […] combinan reconocimiento ligero, objetivos selectivos y diversas herramientas maliciosas», Recorded Future señalado en el momento.
Desde entonces, las actividades maliciosas emprendidas por el grupo han implicado armar hasta 350 dominios que falsifican entidades legítimas como la Federación Internacional de Derechos Humanos (FIDH), Amnistía Internacional, el Instituto Mercator para Estudios de China (MERICS), Radio Free Asia (RFA). ), y el Instituto Americano de Taiwán (AIT), entre otros.
El objetivo constante del adversario contra los grupos de expertos y las organizaciones humanitarias en los últimos tres años está en línea con los intereses estratégicos del gobierno chino, agregó el informe.
Los dominios suplantados, que también incluyen correo electrónico legítimo y proveedores de servicios de almacenamiento como Yahoo!, Google y Microsoft, se utilizan posteriormente para dirigirse a organizaciones e individuos cercanos para facilitar el robo de credenciales.
Las cadenas de ataque comienzan con correos electrónicos de phishing que contienen archivos PDF que incrustan enlaces maliciosos para redirigir a los usuarios a páginas de inicio no autorizadas que reflejan los portales de inicio de sesión de correo electrónico para las organizaciones objetivo.
«Esto significa que tenían la intención de apuntar a personas directamente afiliadas a estas organizaciones en lugar de simplemente imitar a estas organizaciones para apuntar a otros terceros», señalaron los investigadores.
Alternativamente, se ha encontrado que los dominios utilizados en la actividad de phishing de credenciales albergan páginas de inicio de sesión genéricas para proveedores de correo electrónico populares como Outlook, además de emular otro software de correo electrónico como Zimbra utilizado por estas organizaciones específicas.
En otra señal de la evolución de la campaña, el grupo también se ha hecho pasar por páginas de inicio de sesión asociadas con los ministerios de asuntos exteriores de Taiwán, Portugal, Brasil y Vietnam, así como con el Centro Nacional de Informática de la India (NIC), que gestiona la infraestructura y los servicios de TI para el gobierno indio.
Además, el clúster RedAlpha parece estar conectado a una empresa china de seguridad de la información conocida como Jiangsu Cimer Information Security Technology Co. Ltd. (anteriormente Nanjing Qinglan Information Technology Co., Ltd.), lo que subraya el uso continuo de contratistas privados por parte de los servicios de inteligencia. agencias en el país.
«[The targeting of think tanks, civil society organizations, and Taiwanese government and political entities]junto con la identificación de posibles operadores con sede en China, indica un probable nexo estatal chino con la actividad de RedAlpha», dijeron los investigadores.